调查：勒索软件攻击水平加速，全球驻留时间缩短

E安全4月18日讯 研究人员报告说，攻击者在目标网络中未被发现的时间已降至24天，但勒索软件发挥了作用。

研究人员报告说，攻击者在目标网络中花费的时间更少，但是看似积极的趋势隐藏了一个令人担忧的发展趋势：勒索软件攻击本质上具有较短的“驻留时间”，正在变得越来越普遍和有效，从而缩短了所有人的平均时间攻击。

Mandiant研究人员在他们的2021年M-Trends威胁报告中指出，全球平均停留时间（即攻击者在被发现之前位于环境中的天数）已降至24天。曼迪安特高级实践高级总监史蒂文·斯通（Steven Stone）说，虽然平均居住时间从2011年的416天开始持续下降，但今年的数字明显下降。

他说：“与去年相比，停留时间减少了一半。” 2020年M-Trends报告发现，全球平均停留时间为56天，使今年的停留时间显著下降。

下降的原因可以由几个因素来解释，包括威胁检测功能的不断改进，新策略以及更高的安全预算。但是，攻击格局起着至关重要的作用。随着去年驻留时间的减少，勒索软件案件数量增加了：Mandiant调查中有25％涉及勒索软件，比2019年的14％大幅增加。

按攻击类型细分的驻留时间更能说明问题。非勒索软件调查的平均停留时间为45天；对于勒索软件调查，只有五个。这些指标相结合，使全球平均停留时间降至24天的新低。

随着研究人员看到更多的勒索软件，他们期望保压时间会继续减少。毕竟，部署勒索软件的攻击者不想长时间隐藏。

斯通指出：“我们看到勒索软件入侵……比过去几年更快，更迅速地转向了勒索软件。” “我们认为这显然是一个促成因素。”

过去，勒索软件运营商会尝试进入目标环境，并通常在最终部署勒索软件之前花费更多的时间来了解目标环境。现在，他们在攻击周期中快速移动。许多人采用了“多方面勒索”技术，如果不及时支付赎金，他们还威胁要发布被盗数据。

与其他形式的获利相比，攻击者似乎对勒索软件越来越满意。加上越来越高的支出，这对于捍卫者来说是个坏消息。

当今的勒索软件运营商对于协商更高的金额越来越感到满意。

斯通解释说：“我们谈论入侵就像是一台机器一样，但最终是人，而人们倾向于做他们最舒适的事情。” “他们需要一种机制来利用入侵货币化，而且随着他们越来越多地学习如何使用勒索软件，他们在该领域变得越来越舒适。”

攻击者工具包还有什么？当然，勒索软件并不是Mandiant研究人员去年调查的唯一威胁 。他们对一系列安全入侵的反应产生了一些观察结果，包括优先选择利用漏洞攻击（29％）而不是网络钓鱼攻击（23％）作为初始感染媒介。其他常见的媒介包括凭证被盗或暴力破解（19％）以及先前的危害（12％）。

斯通谈到漏洞利用的兴起时说：“它肯定会向我们伸出来。” “如果有的话，我们看到这种趋势目前正在加速。” 研究人员已经准备好下一个M-Trends报告的两个季度了，“实际上，与编写此报告时相比，我们看到了更多的漏洞利用。”

他解释说，曾经有一段时间攻击占据主导地位，但是随着网络钓鱼攻击的增加，攻击开始下降。他说，现在“他们回来了。” 尽管研究人员不确定趋势是什么，但斯通指出，利用漏洞利用的方式与过去有所不同。越来越多的攻击在不断下降，并且有更多的团体在利用它们。

“过去，我们通常会看到一个高端群体针对的漏洞利用……现在，您将看到一个漏洞利用，并且您会在很短的时间内看到一系列的组，要么使用它，要么一旦使用就进行转换公开”，他补充说。

攻击者的武库中存在攻击性安全工具是另一个主要趋势。Beacon是Cobalt Strike平台的一部分，可通过商业途径购买，是在24％的事件中看到的。Empire是公开可用的PowerShell开发后框架，占8％。进入前五名的是Maze勒索软件（5％），Netwalker勒索软件（4％）和Metasploit笔测试平台（3％）。

当攻击者不使用公开可用的工具时，攻击者将依靠私人开发的工具：攻击中使用的恶意软件家族的78％是私有的；其余的都是公开的。Stone解释说，在最先进的群体和技能较低的攻击者中，这种趋势是一致的。其中许多工具易于使用，降低了进入成本并增强了攻击者的权限。

他说：“我们看到许多较低级别的技能组与这些公共工具一起部署自定义恶意软件。” “这使得事件响应非常具有挑战性，我认为组织需要为此做好准备。”

使用Cobalt Strike Beacon的组织之一是UNC2452，Mandiant为供应链攻击背后的组织命名，该组织涉及在SolarWinds的Orion平台中植入植入物。斯通说：“这无疑是我们处理过的最先进的团队。”事实上，它部署Beacon非常令人担忧。

他继续说，尽管组织面临新的威胁，但为此类攻击做准备的过程并未改变。

斯通说：“做好入侵准备。要做好准备，根据看到的实际威胁做出明智的决定。”

他说，来自UNC2452之类的组织的攻击和勒索软件攻击是完全不同的入侵，组织必须采取不同的应对和补救措施。他们必须能够对特定威胁做出正确的选择，而不是“一刀切”的方法。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。